Foto: Brandi Redd / Unsplash

Das Ende des Arztgeheimnisses?

Über die Nutzung von Patientendaten durch KI

1 Kommentare
  • 0

KI-gestützte Geräte halten zunehmend Einzug in unseren Alltag: Für den einen sind sie ein komfortables Gadget, für den anderen Grund zur Sorge um die Privatsphäre. Denn die entsprechende Software verarbeitet persönliche Daten und speichert diese auf Servern von zumeist privaten Firmen. Doch was Sprachassistenten und Co. betrifft, hat in der Regel keiner einen großen Nachteil, wenn er auf diese Geräte verzichtet. Anders ist dies jedoch im Gesundheitssektor: Dort werden KI-Systeme in Zukunft immer wichtigere Assistenten von Ärzten und Pflegern werden und gelten als große Chance, um die Genauigkeit von Diagnosen und Behandlungen zu steigern.

„Datenverarbeitung mit KI enthält kein größeres Bedrohungspotenzial für die Sicherheit der Daten als konventionelle Datenverarbeitung.“

Prof. Dr. Christian Dierks, Rechtsanwalt und Arzt

Damit dies funktioniert, ist es notwendig, dass Pflegeroboter mit Mikrofonen und Kameras ausgestattet werden und dass Diagnoseinstrumente, die auf KI basieren, mit riesigen Datensätzen trainiert werden. KI kommt schlicht ohne die Verarbeitung großer Datenmengen nicht aus. Der Rechtsanwalt und Arzt Prof. Dr. Christian Dierks sieht den Einzug von KI-Systemen in den Gesundheitssektor jedoch gelassen: „Datenverarbeitung mit KI enthält kein größeres Bedrohungspotenzial für die Sicherheit der Daten als konventionelle Datenverarbeitung. Die Daten bleiben, wie und wo sie sind und werden auch durch eine KI nicht verändert oder an Dritte übertragen.“

Auch hier gilt: „Die informationelle Selbstbestimmung und das Grundrecht auf Datenschutz garantieren von Verfassung wegen die Entscheidungshoheit des Grundrechtsträgers über seine personenbezogenen Daten“, sagt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Johannes Caspar. Wie mit sensiblen Gesundheitsdaten konkret umgegangen werden muss, regelt europaweit die DSGVO, die seit dem 25. Mai 2018 anzuwenden ist. Gesundheitsdaten werden darin der sogenannten „besonderen Kategorie von personenbezogenen Daten“ zugeordnet und unterliegen besonders strengen Regeln. Eine Verarbeitung oder die Weitergabe der Daten an Dritte ist nur mit Einwilligung des Patienten erlaubt. Nur in bestimmten Fällen ist dies auch ohne Zustimmung möglich, zum Beispiel zum Zweck der Gesundheitsversorgung oder aufgrund eines öffentlichen Interesses, wie der Verhinderung von Epidemien.

„Unabhängig vom Anwendungsbereich eines KI-Systems verfolgen die Entwickler bzw. Anbieter immer auch ein eigenes privat(wirtschaftlich)es Interesse an der Weiterentwicklung des Systems.“

Prof. Dr. Johannes Caspar, Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

Die DSGVO regelt zudem automatisierte Entscheidungsfindung, wie sie bei KI eine Rolle spielen kann. „Bei der Verarbeitung von Gesundheitsdaten ist die automatisierte Entscheidung nur bei Vorliegen einer ausdrücklichen Einwilligung oder aufgrund einer Rechtsvorschrift aus Gründen eines erheblichen öffentlichen Interesses zulässig. Findet eine automatisierte Entscheidungsfindung statt, muss der Betroffene hierüber im Rahmen der Datenschutzinformationen aufgeklärt werden“, sagt Caspar. Die automatisierte Entscheidungsfindung sei aber auch eine Frage der Haftung, so Christian Dierks: „Es ist zu unterscheiden, ob durch eine schwache KI, also die Anwendung von Algorithmen, die von Menschen gemacht wurden, oder durch eine starke, selbstlernende KI Entscheidungen getroffen werden. Für Entscheidungen der letzteren Art ist das Haftungsregime in Deutschland noch nicht ausreichend klar. Haftet der Arzt, der Anbieter oder Entwickler der KI oder die KI selbst? Hierzu Regeln zu treffen, ist die Aufgabe der nächsten Jahre“. Johannes Caspar schlägt dazu vor: „Entscheidungen über Leben und körperliche Unversehrtheit sollten zwingend menschlichen Entscheidern überantwortet werden.“

Weitere Regelungen für den Datenschutz trifft in Deutschland das Bundesdatenschutzgesetz. Dieses lässt für wissenschaftliche Zwecke die Verarbeitung von Gesundheitsdaten auch ohne Einwilligung zu. Notwendig ist dazu der Umstand, dass das wissenschaftliche Interesse deutlich die Interessen der betroffenen Person überwiegt. „Das kann unter Umständen dann bejaht werden, wenn ein Forschungsvorhaben erhebliche Verbesserungen für die Gesundheit oder die soziale Sicherheit der Bevölkerung mit sich bringt“, sagt Caspar. Diese Ausnahme könne jedoch nicht für das Training von KI-Systemen gelten. „Unabhängig vom Anwendungsbereich eines KI-Systems verfolgen die Entwickler bzw. Anbieter immer auch ein eigenes privat(wirtschaftlich)es Interesse an der Weiterentwicklung des Systems. Die Datenverarbeitung zu Trainingszwecken kann daher nicht mit einem erheblich überwiegenden, konkreten medizinischen Forschungsinteresse oder Behandlungsnotwendigkeiten gerechtfertigt werden und setzt vielmehr eine ausdrückliche Einwilligung der Betroffenen voraus“, differenziert der Datenschutzbeauftragte.

„Es geht nicht darum, den Datenschutz um seiner selbst willen durchzusetzen, sondern um Wissensgefälle zu vermeiden, die den Betroffenen Nachteile bescheren könnten.“

Prof. Dr. Christian Dierks, Rechtsanwalt und Arzt

Weltweit boomt der Markt der KI-Innovationen für Medizin und Pflege. Eine Vielzahl an Systemen stammt daher auch aus Ländern außerhalb Europas, wo oft schwächere Gesetze für den Datenschutz gelten. Dierks möchte aber auch hier beruhigen: „Eine Übermittlung von personenbezogenen Gesundheitsdaten in ein Land außerhalb der EU ist nur zulässig, wenn dieses auf der Liste der sicheren Drittstaaten steht oder zusätzliche Sicherungsmaßnahmen getroffen werden. Entsprechende Kontrollen können von den Aufsichtsbehörden durchgeführt werden.“ Der Rechtsexperte macht sich eher Sorgen um einen anderen Aspekt: „In Deutschland gibt es neben der DSGVO und dem Bundesdatenschutzgesetz auch die Landesdatenschutzgesetze, die Landeskrankenhausgesetze, das Sozialgesetzbuch, das Gendiagnostikgesetz und viele weitere Vorschriften. Diese Heterogenität ist in einem vereinten Europa, in einer globalisierten Welt ein Hindernis für Forschung und Wirtschaft im internationalen Wettbewerb.“ Caspar sieht im europäischen Datenschutzsystem jedoch eher einen Vorteil: „Sofern europäische Entwickler dem Datenschutz und darüber hinausgehenden ethischen Anforderungen im gesamten Prozess der Entwicklung und Anwendung von KI Beachtung schenken, kann dies auch international als Markenzeichen einer ʻAI made in Europeʼ genutzt werden.“

Letztendlich sehen beide Experten das Selbstbestimmungsrecht des Patienten über seine Daten als zentral an. Patienten müsse die Möglichkeit gegeben werden, den Umgang mit ihren Daten zu lernen und die Verantwortung und die Möglichkeiten, diese den Akteuren im Gesundheitswesen im jeweils erforderlichen Umfang zur Verfügung zu stellen, richtig einzusetzen, sagt Christian Dierks: „Es geht nicht darum, den Datenschutz um seiner selbst willen durchzusetzen, sondern um Wissensgefälle zu vermeiden, die den Betroffenen Nachteile bescheren könnten.“ Caspar sieht den Staat in der Pflicht, Patienten bei dieser Aufgabe zu unterstützen: „Der Deutsche Ethikrat weist zu Recht darauf hin, dass sich in verantwortungsethischer Perspektive die Notwendigkeit für den Staat zum gewährleistenden, überwachenden und gegebenenfalls auch regulierenden und sanktionierenden Eingreifen umso mehr aufdrängt, je weniger Unternehmen und private Organisationen Möglichkeiten bereitstellen, dem Einzelnen die Kontrolle über seine Daten zu erleichtern. Hier kommt dem Datenschutz künftig eine wichtige Funktion zu.“

Debattiere mit!

Deine Emailadresse wird nicht veröffentlicht.

1 Kommentare

  • K. Ernst

    08.04.2019, 9:58 Uhr

    Die Frage nach der Wahrnehmung des Selbstbestimmungsrechtes des Patienten setzt Erkenntnis voraus. Der Patient nimmt wie die Masse der Menschen IT hauptsächlich als Konsument in Form von Unterhaltungstechnik wahr. Demzufolge verfügt er kaum umfassende Kenntnis in der Erfassung, Verknüpfung, Organisation, Übermittlung und Speicherung bis hin Löschung von seinen personenbezogenen Daten. Folge dessen ist er sich deren Umfang und den damit verbundenen Dimensionen an möglichen Missbrauch nicht bewusst.
    Patienten schätzen ihr persönliches Risiko wesentlich aufgrund subjektiv wahrgenommener Kontrollierbarkeit, der Bekanntheit von Folgen und der zeitlichen Verzögerung der Konsequenzen für sich ein. Nicht das objektive, sondern das subjektiv wahrgenommene Risiko und dessen Bewertung beeinflussen das Handeln der gegenwärtigen Patienten. Objektiv bedrohend könnten die Folgen im alltäglichen und perspektivischen Agieren auch für genetisch verwandte Personen werden.
    Anwendung sowie Möglichkeiten von Algorithmen hinsichtlich Zusammenführung von personenbezogenen Patientendaten aus verschiedenen Quellen und denkbarer Weiterverarbeitung der so zusammengeführten Daten, sind gegenwärtig für Patienten und deren Nachfahren kaum nachvollziehbar.
    Der Patient sucht in erster Linie ärztliche Hilfe, Rat und Unterstützung. Schon die eigentliche medizinische Aufklärung und das vorgefundene zum Einsatz kommende technische Equipment kann zu einer Überforderung führen.
    Thematisiert man momentan die Digitalisierung im Gesundheitswesen, ihre Vorteilen sowie deren Folgen, schaut man in erster Linie nach vorn in die mehr oder weniger nahe Zukunft. Doch was ist mit den Daten, welche zwecks Diagnostik vor inzwischen Jahrzehnten abgespeichert, erfasst, gesichert und wo und wie außerhalb der Krankenhäuser und Universitäten gespeichert wurden. Zu den großen Einrichtungen gibt es statistisches Material. Doch bildgebendes Verfahren, digitalisierte bildgebendes Systeme oder Methoden befinden sich spätestens seit Ende der 1970er Jahre zunehmend auch in kleinen Einheiten.
    Diese über die Jahre erhobenen Daten stehen nie im Fokus, wenn über Folgen und Auswirkungen der Datenerhebung im Gesundheitswesen diskutiert wird. In dieser Zeit und auch bis vor wenigen Jahren fand sich von Seiten der Patienten absolut kein Bewusstsein dafür, dass manche medizinische Segnung auch mit einer Datenspende verbunden war. Eine Form von Aufklärung dazu gab es nicht. Praxen schlossen, strukturierten sich neu usw. Die Möglichkeiten der Datenstreuung lässt sich unendlich vertiefen.
    Risiken lassen sich mit konsequenter Durchsetzung der DSGVO, des BDSG reduzieren, jedoch nie absolut vermeiden. Wir sollten es akzeptieren und uns darauf einstellen. Denn wie ist es aktuell bei manchen Arzt um die „Sicherheit“ der Patientendaten bestellt? Man sollte doch erwarten, dass zumindest in Folge der DSGVO (Inkrafttreten 25.05.2018) bei solcher kritischen Infrastruktur die erforderlichen technisch organisatorische Maßnahmen, die TOMs, professionell gemanagt werden. Irrtum! Besonders bei bereits digitalisierten bildgebenden Verfahren ist aktuell erlebter Zustand bedenkenswert.
    Hochspezialisierte Geräte gelangen in vermeintlich kleine Praxiseinheiten, die Technik ist komplex und für die klein gehaltene Unternehmung verordnungskonform nur mit Engagement und Disziplin zu händeln. Und das gelingt nicht immer!

    0

Mehr zu dem Thema

  • 0
  • 2
  • 0
  • 0
  • 0
  • 2
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessen. Durch Deinen Besuch stimmst Du dem zu.